Kebijakan Keamanan Informasi

Langkah ke empat langkah mendapatkan sertifikat ISO 27001:2013 adalah menetapkan kebijakan keamanan informasi. Sebelumnya kita diskusikan dulu apa yang dimaksud dengan kebijakan keamanan informasi. Karena istilah ini kadang rancu di dalam ISO 27001:2013

Kebijakan Keamanan Informasi 

Setidaknya ada 2 jenis Kebijakan Keamanan Informasi yang harus ditetapkan terkait ISO 27001:2013. Masalahnya tidak ada sebutan khusus dalam persyaratan terkait 2 kebijakan tersebut meski lokasi persyaratannya berbeda 😢 . hal ini yang sering bikin kesel krn saat auditor ext bertanya, kebanyakan cuma menggunakan kata "kebijakan" padahal terdapat 2 jenis kebijakan yang harus dibuat. Sehingga sering rancu dokumen mana yang yang akan dikeluarkan untuk menanggapi permintaan auditor tentang "kebijakan" 

1. Kebijakan Keamanan informasi sesuai klausul 5.2 

yuk kita lihat persyaratannya 

5.2 Policy
Top management shall establish an information security policy that:
a) is appropriate to the purpose of the organization;
b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
c) includes a commitment to satisfy applicable requirements related to information security; and
d) includes a commitment to continual improvement of the information security management system

Sama dengan standar ISO lain, maka klausul 5.2 adalah persyaratan untuk membuat kebijakan, yang dalam hal ini adalah kebijakan keamanan informasi. Didalam persyaratan diatas dapat dilihat hal - hal yang harus dimasukkan dalam kebijakan keamanan informasi tsb. Antara lain adalah sbb : 

1. sesuai dengan tujuan organisasi, silahkan bikin kekhususan terkait dengan model operasio perusahaan. Misal "menjadi perusahaan yang berkomitmen menjaga data pribadi nasabah" dst
2. penyesuaian dengan sasaran yang ada di klausul 6.2 
3. komitmen untuk memenuhi peraturan 
4. komitmen untuk perbaikan berkelanjutan 

Kebijakan ini bisa anda buat dalam bentuk narasi atau pun dalam bentuk daftar / point ataupun gabungan keduanya. Yang penting kalimat yang dibuat mencakup 4 persyaratan diatas. 

2. Kebijakan Keamanan informasi sesuai klausul Annex 5

Mari kita lihat pengendalian yang disyaratkan

A.5	Information security policies
A.5.1	Management direction for information security
A.5.1.1	Policies for information security	Control A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.

Dari pengendalian tersebut disebutkan "A set of policy" for information security. Ini menunjukkan bahwa kita harus membuat pengendalian dalam bentuk beberapa kebijakan keamanan informasi yang menjadi dasar dalam melakukan operasional di perusahaan. 

Apa saja yang harus dibuat kebijakannya dalam untuk melakukan pengendalian? Sesuai annex maka di dapat beberapa kebijakan yang harus dibuat seperti berikut :

1. Information Security Policy (A.5.1.1)
2. Mobile Device Policy (A.6.2.1)
3. Remote Access / Teleworking Policy (A.6.2.2)
4. Access Control Policy (A.9.1.1)
5. Cryptography Policy (A.10.1.1)
6. Cryptography Key Management Policy (A.10.1.2)
7. Clear Desk and Screen Policy (A.11.2.9)
8. Acceptable Use of Information Assets Policy (A.8.1.3)
9. Communications (Information Transfer) Policy (A.13.2.1)
10. Secure Development Policy or Plan (A.14.2.1)
11. Supplier Management Security Policy (A.15.1.1)

Dari daftar tersebut dapat dilihat bahwa ada 11 kebijakan yang WAJIB dibuat  agar bisa memenuhi persyaratan pengendalian yang ditentukan. Tidak ada persyaratan kata atau kalimat seperti klausul 5.2 dibagian 1 diatas. Yang penting adalah bagaimana anda mengatur sebuah hal terkait subjek yang ditentukan. 

Eh lihat lagi, di A.5.1 disitu juga tidak ada hal lainnya padahal kata-katanya sama (Information Security Policy) sehingga dapat digabungkan dengan klausul 5.2 pada bagian 1.Dengan demikian kebijakan keamanan informasi yang ada di klausul 5.2 dapat dijadikan pengendalian sesuai Annex 5

Pada implementasinya, gw biasanya membuat dokumen khusus terkait kebijakan / policies ini. Yang memuat seluruh kebijakan yang umum dibuat dalam pengelolaan keamanan informasi. Dokumen ini biasanya bukan beberapa lembar tapi isinya cukup banyak karena biasanya semua pengendalian / control yang ada di annex gw buatin policynya juga. hehehehe 

Tujuan untuk tindakan ini adalah 

1. untuk memastikan semua kebijakan wajib tidak tertinggal sehingga dianggap kurang memenuhi persyaratan 
2. menjadi referensi bagi prosedur - prosedur yang wajib dan prosedur sesuai kebutuhan 
3. menjadi dokumen sapu jagat bila ternyata ada ketentuan yang belum di buat dalam prosedur atau pun dokumen lain 
4. gampang di copy paste ke perusahaan lain karena kebijakannya biasanya sangat umum hehehe 

Jadi terkait dengan langkah keempat ini, anda diminta untuk membuat dokumen yang berisi satu kesatuan utuh kebijakan yang mencakup semua kebijakan yang wajib sesuai permintaan ISO 27001:2013.

Bagi yang pernah membuat dokumen ISO selain ISO 27001:2013, tolong dipahami trik ini, karena hanya di ISO 27001:2013 kebijakan yang dibuat bukan hanya selembar kertas atau hanya berisi beberapa kalimat umum tetapi mencakup beberapa topik sesuai dengan permintaan annex

3. Tips membuat kebijakan 

Ada beberapa hal yang saya sarankan dalam membuat kebijakan keamanan informasi. 

- selalu general, yang detil ada di prosedur

jangan membuat kebijakan dalam bentuk yang khusus, selalu dalam bentuk umum. misal "kebijakan mobile device", pastikan anda menggunakan istilah "perangkat bergerak / mobile device dibandingkan anda menyebut nama perangkatnya (mis : laptop, harddisk ext dll) Bila anda menyebut model perangkat bisa jadi kebijakan kita akan out of date alias tidak sesuai dengan perkembangan jaman, toh kita tidak akan pernah tahu sejauh mana perkembangan tekonologi di masa depan kan? 

- gunakan pola manajemen risiko 

siapa yang menyangka bahwa kita akan bekerja dari rumah? tetapi bila anda berfikir soal risiko maka bisa jadi hal tersebut akan terlintas dalam memprediksi kemungkinan yang terjadi berdasarkan risiko yang kita perkirakan, Jadi daripada anda membuat kebijakan "bekerja di kantor tanpa kecuali" jauh lebih baik anda menambahkan kata - kata pekerjaan dapat dilakukan di tempat lain bila terdapat ijin khusus. 

- sesuaikan dengan aturan perusahaan 

jangan sampai kebijakan yang dibuat ternyata di larang atau bertentangan dengan aturan perusahaan yang lebih umum. Membuat kebijakan berarti kita sedang membuat aturan tambahan terkait keamanan informasi. Karena keamanan informasi bersifat khusus maka harusnya tidak boleh bertentangan dengan kebijakan atau aturan umum dari perusahaan yang bersifat lebih umum. 

- tidak ada kebijakan yang tidak bisa di revisi

Ingat, ini adalah dokumen ISO. Sebuah dokumen yang akan kita lakukan dan buktikan bahwa kita telah memenuhi persyaratan ISO 27001:2013. Di pengendalian pada A.5.1.2 dijelaskan bahwa anda harus meninjau dokumen ini untuk disesuaikan dengan perkembangan yang terjadi di perusahaan. Pada pengendalian ini anda diwajibkan secara teratur meninjau dokumen ini dan melakukan revisi bila diperlukan. 

Well kira-kira seperti itu langkah ini dilakukan. Pusing? emang pusing kalo memulai dari awal tanpa pengalaman dan pengetahuan yang memadai. Tapi ini gunanya blog ini kan? berusaha memberikan pandangan bagaimana melakukan sesuatu. Kalau dianggap belum cukup tulisannya, ya silahkan WA gw biar gw kasih penawaran konsultasi penerapan ISO 27001:2013 di tempat elu hehehe 

ok kita lanjutkan langkah ke lima dari enam belas langkah cara mendapatkan sertifikat  ISO 27001:2013 di tulisan berikutnya dengan membuat manajemen risiko

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami